健康碼之法視角分析

馮世昌

（河南科技大學法學院，河南洛陽471000）

進入大數據時代，政府采用數據治理的方式為其決策和行動提供支撐[1],體現了國家治理能力的提高與治理觀念的轉變。特殊時期，健康碼是應對疫情防控的重要措施之一，通過內在鑲嵌大數據、互聯網等信息技術，利用信息共享、數字算法呈現最后的二維碼顏色管控出行，防控效果明顯。管理者通過二維碼不同的顏色判斷二維碼持有人的風險狀況，從而滿足疫情防控的需要。客觀來講，采用電子數據產物（健康碼）治理疫情“療效顯著”，但健康碼自身運用過程中產生的問題不容小覷，如：法律屬性不明確，運用過程中的授權性風險、功能擴張性風險和算法侵權與信息收集泄露風險需要從法律規范角度進行考量與分析，尋求規制之法，讓算法程序之下的健康碼與當下行政法治建設相融合，發揮其在疫情防控中強大生命力，為公共衛生安全防控和行政法治建設助力。

一、健康碼的法律屬性

行政機關使用健康碼管控出行的辦法，起源于我國杭州市余杭區，余杭區政府在滿足嚴防嚴控總體要求和復工復產緊迫態勢之間準確施策，聯合相關部門，借助互聯網企業，經過一番討論，最終達成研發一套防疫防控應用軟件的決定[2]。區域性健康碼發揮強有力作用后，為滿足全國居民合理出行的要求，打造全國性出行健康碼隨即被國務院納入規劃，國務院集合其相關部門與大互聯網平臺（支付寶和微信）和中國電信運營商[3]進行合作，研發出全國范圍內互認互通一體的二維碼，該碼不同于以往的支付寶與微信支付碼，僅是通過辨識二維碼顏色進而起到管控出行目的的一種電子信息顯示。

關于健康碼的法律屬性問題，至今未能定性，目前被大多數學者認可的理論為：發放健康碼的行為符合行政機關裁量自動化行政行為，屬于自動化行政評級行為[4]。行政評級，是指行政機關設定一些簡明的評價標準，結合相對人的相關信息或者過往的行為予以定性評價，進而在此基礎上進行相應分類監管的行為[5]。健康碼產生步驟如下：先由行政機關將評判標準程式化于系統之中，再由相對人在線提交個人信息進行申請，最終由系統自動分配不同顏色標識的二維碼于申請人設備之上。在健康碼產生過程上，其生成是由系統自動完成的，因此可歸屬于自動化行政行為[6]。寬泛來講，只要政府機關使用電子化、信息化設備于行政管理活動中均可歸屬為自動化行政范疇。但為降低理解程度上偏差，對自動化行政行為應作出限縮解釋，即行政管理中行政機關大部分使用或者全部使用計算機互聯網系統完成的才屬于自動化行政。現實生活中，行政機關將自動化技術引入行政管理活動的做法比比皆是，如2016 年國務院“一站式在線政務服務平臺”著手建設，諸多具體行政行為通過網絡平臺即可辦理，切實實現國務院對群眾的承諾,即“最多跑一次”“讓數據多跑路，群眾少跑路”“不見面審批”等，該現象的呈現與自動化行政密不可分。另有學者認為生成健康碼的行為符合行政確認的特征。行政確認是指行政主體依法對行政相對人的法律地位、法律關系或有關法律事實進行甄別，給予確定、認定、證明并予以宣告的具體行政行為。例如公安機關進行戶口登記，公證機關依當事人的申請進行的公證行為，技術監督部門對于產品質量是否合格的認定等,都屬于行政確認[7]。而健康碼是申請人主動申請，在對自己個人信息進行填報后，由行政機關根據互聯網的數據比對進行二維碼發放的行為，是對申請人近期活動范圍以及有無經過風險地區進行的基本數據收集，進而對申請人狀態的落實行為。僅從申領階段分析，可以理解生成健康碼屬于行政確認行為是符合邏輯，但是，健康碼的申領從體系上進行理解，發放并不屬于對申請人是否遵守法律規范的認定，而是一種身體健康層面的法律擬定，不存在行政確認的確認基礎，更何況二維碼顏色的形成不是一種既定不可變的事實，只是初步定位，二維碼顏色轉換是實時、動態的過程，因此發放健康碼不屬于行政確認行為。

發放健康碼的自動化行政評級行為是否具有可訴性？解決該問題要明確行政評級行為的性質，生成健康碼是對個人信息在既定時間與范圍內結合疫情風險區域為管控出行而作的一種分析性數據評價，行政法律關系的產生、變更、消滅并未受影響，屬于一種全自動行政事實行為。行政事實行為不符合《中華人民共和國行政訴訟法》受案范圍的規定，不具有可訴性。有必要指出，自動化行政存在一定法律風險，如個人信息使用風險、個人隱私與生物性識別數據保護不善的侵權風險、“算法黑箱”結果不透明的風險等[8]。自動化行政隨著科技發展會逐步進入“全自動行政決定”時代，我國行政管理法律關系中還未運用機器作出“全自動行政決定”，自動化系統僅以輔助決策的地位存在。德國已經通過立法將計算機、機器作出全自動行政決定行為進行規制，2017 年修改后的德國《聯邦行政程序法》將“全自動行政決定”加入法律條款之列，對其使用條件嚴格限定。發放健康碼的行為屬于全自動行政事實行為的行政評級行為，目前我國對全自動行政評級的事實行為未有立法慣例上的約束，但需要將采用自動化系統進行行政管理的風險考慮在內。

二、健康碼運用中的風險

健康碼內在呈現的算法賦權本質與行政機關借此實現裁量自動化與裁量半自動化的目的相符，但健康碼運用過程中存在一定的風險，政府部門部分授權網絡科技公司共同研發的行為，會讓企業借機行使“私權力”情況凸顯，健康碼授權性運用風險加大；更有甚者擴張健康碼功能，“一碼多用”，超出健康碼僅作管控出行的原始目的，漸顯損害私權主體利益的風險；健康碼產生之初是為了保護公民的生命健康權，與公民權利保護息息相關，但在運用過程中與公民個人信息權和個人隱私保護存在脫節之處，數據收集產生算法侵權與信息泄露風險也需謹慎對待。

（一）健康碼授權性運用的風險

公權與私權運行過程中，因產生根源的不同，公權力蘊含著一種不受控制就會侵犯私權的“膨脹力量”。政府權力運行過程中，雖多次簡政放權，讓權力回歸權利，但國家公權力仍處于強勢地位，私權處于弱勢地位，私權為謀求“生存”地位，轉而借助公權力謀取“生存空間”的“公私合謀”情況就會發生。該種情況可從斯蒂格勒和佩爾茲曼提出的“監管俘獲”理論中找到映射：監管者為了做自己的私利（該處僅指疫情可以有效防控）可能會與被監管者合謀[9]，而一旦“俘獲”監管者所獲得的收益高于成本，那么被監管者則會想方設法“俘獲”監管者[10]。健康碼中的“監管俘獲”則表現為有效防控病毒傳播效果產生后，互聯網企業則會利用已經獲得的數據信息，作為資本謀取私利。斯蒂格勒和佩爾茲曼并沒有對“監管俘獲”進行劃分，而中國學者對此進行了理論分類，認為“監管俘獲”從理論層面有主動和被動之分。方興東、嚴鋒對“被動監管俘獲”的解釋是：當監管者自身能力不足時，必須將部分資源或權力轉移給被監管者，由此產生的狀態稱為“被動監管俘獲”[3]。“被動監管俘獲”造成的主要影響則是權力重構，互聯網企業變相擁有“權力”。疫情治理上，“被動監管俘獲”現象不可避免，新型冠狀病毒肺炎對國家治理現代化提出了更高的要求,政府因自身資源不足，無法對疫情展開有效防控，需要部分授權互聯網平臺（如阿里巴巴和騰訊）。數據在國家和互聯網企業中所占比重大，互聯網和物聯網的發展速度大大增加了每個人成為“數據人”的可能性，數據利用方面需要政府機構加強監管，避免被商業力量利用。互聯網平臺站位資本層面，夾雜資本利益，個人數據容易被互聯網企業做資本利用，健康碼產生的“被動監管俘獲”現象只是數字治理背景下的一方面，“互聯網+”工程的開展，政府與互聯網企業合作頻繁，“數據即權力”的說法有其現實意義。互聯網平臺治理難度大、內容治理范圍廣、國家治理和數據治理銜接不當均會影響政府治理成效[11]。因此，對互聯網超級平臺的數據進行治理非常必要。政府部門需要在利用社會資源過程中保持警惕，規避互聯網領域的風險，為“公私合作”創造良好氛圍。

（二）健康碼擴張性運用的風險

擴張健康碼的使用范圍，推行“一碼多用”，會在某種程度上侵犯公民的人格利益。使用健康碼的界限應恪守在管控出行層面，公權力機關及相關場所管理人在人口密集場所行使查驗權力（權利），要求出示健康碼的行為，符合疫情防控目的；私權主體處于出行便利需要主動出示健康碼，接受相關人員的查驗，否則相關場所管理人有權利禁止進入，也與疫情防控目的一致。對于超出防疫防控目的，部分地區推出“多功能版健康碼”的舉措，超出應急行政的管理范圍，如杭州地區的“變色碼”和蘇州地區的“文明碼”。“變色碼”是對健康碼顏色添加辨別公民個人健康狀況的功能；“文明碼”則是加入文明行為評價，對公民文明程度進行區分。健康碼是由于疫情傳染速度快，政府為避免交叉感染便于管控而推出的社會治理行為，對出行自由權進行限制有其正當性，那么“變色碼”與“文明碼”的推行，揭示出政府治理層面的越界。個人信息被挪作他用，私權被進行限制，與疫情防控目的相悖甚遠，缺乏正當性基礎。利用行政權采集信息便利，將健康碼升級挪作他用的做法損害公民人格平等與人身自由，侵犯公民的人格利益。《中華人民共和國突發事件應對法》（簡稱《突發事件應對法》）第50條規定，行政機關應當針對事件的性質和特點，采取一項或者多項應急處置措施，包括封鎖場所、道路，查驗身份證件，限制公共場所的活動。此處，多項管控措施的查驗身份證件應理解為不僅僅指公安部門身份證，疫情期間的健康碼也屬身份證件。應急行政中健康碼僅用作應急處置，添加其他功能做法，體系上與《中華人民共和國突發事件應對法》（簡稱《突發事件應對法》）立法目的不符，所以“文明碼”與“變色碼”中途禁止使用也是意料之中。智能化、自動化的社會治理模式用于所屬國家的個別領域時，不能忽視該種治理模式存在風險。作為個體存在的公民與網絡的關系日益密切，個人數據將與其他數據連接，新的治理模式下“政府—平臺—社會”的權力重構勢不可擋，政府會結合收集的數據對社會進行管理，數據的收集與利用僅限于社會專項治理，不應擴張其外延用作他處。

（三）健康碼運用與公民權利保護脫節的風險

健康碼以數據的采集、處理和分析為基礎，進而形成二維碼顏色，但數據收集和處理過程中對公民個人信息權與隱私權保護存在脫節的風險。一方面表現為算法侵權風險，即數字算法程序設計的復雜性致使個人信息應用范圍不易得知，極易產生“算法黑箱”，侵犯公民個人信息知情權。健康碼結合大數據利用個人信息進行自動化決策，決策內容的碼色顯示可能在產生過程中被算法程序“誤判”，如：健康碼使用者“被紅”“被黃”，系統出具碼色結果與申領者切實情況不符，造成申領者權益受損。公權力主體針對此種情況僅憑單一主觀判斷就采取限制出行、隔離措施，實屬武斷。面對算法程序的“誤判”，健康碼持有者舉證困難，只能選擇隱忍，維權手段不健全；另一方面則表現為個人信息泄露風險，實踐中，健康碼收集的個人信息范圍廣，均為辨識度高的個人敏感信息，收集來的個人信息以數據庫的方式存在于個別數據平臺，集中儲存，該種方式加大個人信息泄露的風險。誠然，個人信息被用作于生成健康碼進行疫情防控有其合理性，理由是相較其他人格權，生命權是享有其他權利基礎，沒有生命權，其他人格權就會成為“無根之木”，保護也就毫無意義，生命權無疑在人格權保護中具有優先地位。聯合國人權理事會第6號與第14 號文件充分表明，生命權是“一切人權的基礎”，是“絕對不可減損的權利”。對個人信息進行采集利用，達到社會治理和疫情防控合情合理，但不能避諱政府在治理層面的“著急心態”為追求公共衛生安全而忽視個人信息權益，對個人信息權益進行應急形勢下的犧牲。

三、健康碼運用中的風險規制

面對健康碼運用過程中出現的種種風險給社會治理和公民權利造成的影響，從產生風險的源頭入手，結合技術要素并分析實際情況，尋求相應的舉措與對策，對信息科技產物的健康碼風險進行規制。

（一）授權性風險規制之策

為避免“監管俘獲”隱藏風險對公權與私權合作的威脅，需闡明公權主體授權私權主體為一定行為的性質。美國公私伙伴關系全國理事會認為，“公私伙伴關系是指公共機構（聯邦、州或地方）與私人部門實體之間的一個契約協議”[12]11，屬于民事法律調整的范疇。法國與德國則認為該種行為屬于行政合同（契約）的范疇。公私合作行為在我國的應用，凸顯公共產物制造和公共服務模式的一種新理念，涵蓋公權力機關自主選擇私權利主體并與之相互協作共擔風險、共享收益的服務全過程。從這個層面可認為授權研發健康碼行為應屬于公共采購法的范疇，或者是傳統政府采購的延伸[13]83，可以按照行政合同理論進行規制。首先，明確合同內容，規定研發期限、使用場域、各項數值指標、操控權限、各種風險因素及不可抗力因素承擔等，同時，還應明晰使用期間的結果查驗、信息資料保護、監管運營職責等。還應把《通用數據保護條例》的目的約束和數據最小限度使用原則與數據透明度要求和安全保護措施同步落實于合同之中，貫穿公私合作全過程；其次，數據存儲過程中，按照《中華人民共和國民法典》（簡稱《民法典》）第1039 條與《中華人民共和國傳染病防治法》第12 條的規定，行政機關與疾病預防控制機構應審慎保管收集的信息，不得泄露涉及個人隱私的有關信息、資料。作為被授權主體的企業也應按照與行政機關簽訂的行政合同內容承擔其數據安全保護法定義務，數據僅作完善健康碼自身使用，不得留存備份，也禁止在合同授權范圍外處理使用，否則將面臨合同違約之責甚至承擔行政或刑事處罰之果；再者，中央和地方各級政府，需要根據全局進行安排，確立強有力、高效率的協調機制，盡快形成全國性數據使用制度和公私合作管理模式，還應建立數據使用問責機制，制定明確的規則，保障公私協作內容有序化。最后，引入公私合作方之外的第三方，對合作行為進行監督。第三方主體的選定可以是政府的相關監督部門也可以是與私主體從業內容相近的企業，用評估或者同行業自查的方法，檢查程序有無隱藏性主觀傾向。

（二）擴張性風險規制之舉

就健康碼擴張性使用行為，需要確定擴張邊界，該邊界指個人信息使用主體的使用行為，合理的使用行為可以被允許，否則便予以禁止。《民法典》第1036 條第3 項將“為維護公共利益合理使用個人信息”作為免責事由，行政機關可以基于疫情防控的初衷，數據使用過程中，無須遵循公民知情同意原則，但是第1035 條“不得過度處理”的規定和“合理實施”的要求揭示出處理個人信息必須堅持“目的限定”和“比例原則”禁止擴張性使用[14]。為避免行政機關擴張性使用個人信息產生風險，可用以下幾種方法對風險進行規制。第一，遵守《中華人民共和國個人信息保護法》（簡稱《個人信息保護法》）第6條的規定，個人信息使用主體“處理個人信息應當具有明確、合理的目的或使用個人信息應明確、明晰、特定，并應當與處理目的直接相關，限制概括性目的或者留存式目的”[15]。時下疫情防控的目的在于通過健康碼顏色判定持碼人能否進入公共場所、乘坐公共交通工具等，減少居民交叉感染，擴張個人信息生成其他用途的做法與此目的相悖，應禁止使用。第二，收集個人信息，應當限于實現處理目的的最小范圍，采取對個人權益影響最小的方式，應急行政下行政機關應在法律授權范圍內處理公民個人信息，不得過度收集個人信息。第三，遵循《個人信息保護法》第5條之“合法、正當、必要和誠信原則”，減少對公民私權的變相損害。貫徹正當性原則應將健康碼的使用價值和衛生防疫工作的實際情況相結合，功能定位要正當（限于管控出行），用途要正當（即不得超出疫情防控，不得進行與疫情防控無關的擴張性處理），內容也要正當（即健康碼顏色僅是辨明所處區域疫情的風險狀況），除此之外用健康碼顏色對其他情況進行標注的行為，均應予以制止；落實必要性原則應將場合必要性與適用范圍必要性相統一，行使行政權力時綜合衡量公共利益和公民、法人和其他組織的關系，遵循“非必要不收集原則”。第四，踐行《個人信息保護法》第14 條規定的“重新同意原則”，公權力機關對生成健康碼的數據進行擴張性使用時，應結合疫情形勢，對個人信息做動態處理，需進一步使用的應及時告知，并獲得信息主體的授權，不需要使用部分應回歸信息主體本身，以實現個人信息保護與疫情防控手段之間的均衡發展；落實比例原則，對私權處理要保持審慎態度，于私權保護與防疫措施正當性之間找到一個平衡點，不可顧此失彼，應盡量采取“去標識化”或“匿名化”等損害最小的處理方式，保證手段與目的之間合理、適度、相稱[14]，力求實現疫情防控與公民私權保護的相對平衡。

（三）權利保護脫節風險規制之法

個人信息數據化的演變將人類權益內容豐富，算法程序讓個人本體外的潛藏價值被挖掘，進而作為信息體存在的個人不僅便于政府從信息層面行政管理，企業也可借助信息收集牟利。基于公共利益，行政機關運用行政權收集個人信息，可以不經過信息主體的同意，還可因為管理之需讓企業報送數據以備審查，兩種手段于信息主體而言信息使用透明度不夠，信息數據主體很難知曉被收集、備查的數據用在何處，個人信息權益被侵犯風險加大，權利保護存在脫節之處。疫情期間，規制算法侵權降低風險可從幾個方面進行：一是明確自動化決策結果在疫情防控工作中的輔助地位，管理者在需要出示健康碼的場景中，應當避免陷入對算法程序產生結果的過分信任，結果不合理時行政機關的裁量行為及時介入，該種彌補思路旨在尋求行政法基本原則與自動化算法決策兩者之間的平衡。二是賦予健康碼持有者要求算法決策解釋的權利，當健康碼顏色與自身實際不符時，行政機關以及算法程序設計者就要承擔起算法決策的解釋說明義務，對申請者從程序設計邏輯和結果如何產生兩方面進行解釋，申請者有證據證明自己從未去過高風險地區時，行政機關就需要對健康碼顏色進行改變，以此來維護持有人的權益。三是成立臨時健康碼專門審查機構，進行算法審計。結合美國《算法問責法案》，對健康碼審計可從以下因素著手：1.生成健康碼數據詳細報告；2.個人信息利用程度及利用后產出結果的時間；3.健康碼持有者反饋途徑；4.健康碼個人信息差異化結果影響風險；5.健康碼風險規制措施。審查機構中，審計人員應盡可能由來自計算機信息工程的人員組成，保證審查者具有算法程序鑒別能力，“被紅”“被黃”的健康碼持有人在無法證明自己從未去過中高風險地區時，可將健康碼遞交專門審查機構，由審查機構人員對健康碼進行算法程序的檢查。引用英國作家盧恰諾·弗洛里迪著作里的一句話來揭示算法侵權對我們的影響：“如果我們不努力解決，數字鴻溝將成為斷層，在那些能夠成為信息圈居民與那些無法做到這一點的人們之間，在知情者與不知情者之間，以及在信息富有者與信息貧困者之間造成新型歧視”[16]13。最后，關于個人信息泄露風險規制，應做到嚴禁重復注冊。個人信息的重復注冊和敏感信息的多條記錄在一定程度上增加了個人信息和隱私泄露的風險，使用健康碼應將使用的個人信息限于必要信息的范圍，遵循“非不必要不收集原則”，與健康碼生成和防疫目的無關的信息禁止收集。此外，收集的個人信息也要做必要脫敏處理，被健康碼使用的個人信息應置于政府相關部門管控之下，企業服務器終端不留備份。

結語

信息社會數字代碼結合程序性算法在法律治理社會關系中的作用不斷增強，數據的客觀性在治理過程中會減少權力恣意現象的產生。健康碼是應急行政之下數字治理的手段之一，健康碼自身存在的問題，在數字治理過程中也會漸顯，數字治理對公民權利的保護應該更加高效便捷，而不應該畸形發展，肆意壓縮公民權利內在生存空間。數字治理手段在實施過程中，應遵循法律基本原則，避免“數據獨裁主義”理念蔓延，盡力縮小“數字鴻溝”。智能時代，應將科技前沿性與法律滯后性之間的差距逐漸縮小，探索與科學文明相伴而生的制度文明，創制出有利于人工智能健康、有序發展的社會規范體系[17]。借此，國家相關機關應參酌健康碼運用實效，明確科技算法是為國家法治和法治國家建設服務這一理念，縮小科技前沿性與法律滯后性二者之間的差距。另外，國家也需要于法律層面對數據代碼和程序性算法在國家治理層面的運用提供制度保障。